Erstes Windows-2000-Virus aufgetaucht

Virus nutzt multiple Data Streams des NTFS-File Systems

Antivirenhersteller haben ein neues bahnbrechendes Virus entdeckt, das sich im NTFS-Dateisystemen einbettet und auf den Namen W2K.Stream getauft wurde. Das Virus wurde Ende August von den tschechischen Hackern mit den Codenamen Benny und Ratter programmiert. Zur Zeit sind allerdings noch keine Infektionen außerhalb der Testlabore bekannt geworden.

Artikel veröffentlicht am ,

Eugene Kaspersky
Eugene Kaspersky
"Dieses Virus läutet eine völlig neue Ära in der Virenprogrammierung ein", so Eugene Kaspersky, Chef der Kaspersky Labs in Moskau. Durch die Stream-Companion-Technologie pflanze sich das Virus selbstständig in einer völlig neuen Form in Programm-Dateien ein. Die Erkennung und Entfernung des Virus sei daher wesentlich komplizierter als es bei bisherigen Viren der Fall war, so Kaspersky.

Stellenmarkt
  1. Teamleiter Webshop Backend (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau / Pfalz
  2. Senior Backend-Entwickler (w/m/d)
    articy Software GmbH & Co. KG, deutschlandweit (Home-Office)
Detailsuche

Entgegen bisher bekannten Methoden der Datei-Infektion, bei denen das Virus sich an den Anfang, an das Ende oder in einen beliebigen Teil der zu infizierenden Datei hineinschrieb, nutzt das Stream-Virus ein spezifisches Feature des NTFS-File Systems, das multiple Data Streams zulässt. In Windows 95 oder Windows 98 lässt das FAT-Dateisystem nur einen Data Stream zu - den Programm-Code selbst. Anders verhält es sich bei Windows NT und Windows 2000: Diese lassen eine Vielfalt von Neben-Streams in einer Datei zu, die als eigenständig ausführbare Programm-Module fungieren und/oder als Service-Module Zugang zu Datei-Zugriffsrechten, Verschlüsselung oder Processing Time ermöglichen.

Stream sei das erste bekannte Virus, das die multiplen Data Streams des NTFS-Dateisystems ausnutzt. Es generiert einen zusätzlichen Data Stream mit dem Namen "STR" und kopiert den ursprünglichen Inhalt des Programms dort hinein. Dann ersetzt es den eigentlichen Data Stream mit dem Virus-Code. Wenn die infizierte Datei ausgeführt wird, vollendet das Virus seine Replikationsprozedur und übernimmt die vollständige Kontrolle über die Datei.

"Viele Anti-Virenprogramme prüften bisher unter NTFS nur den Haupt-Data-Stream und können somit Kontrolle über dieses neue Virus bekommen. Wenn aber die Programmierer sich die Viren in die zusätzlichen Streams schreiben lassen werden, was durchaus möglich ist, werden sich einige Anti-Virenprogramm-Hersteller gezwungen sehen, ihre Virus-Engines einem Redesign zu unterziehen", kommentiert Eugene Kaspersky. "Kaspersky Lab hat bereits in seinen täglich erscheinenden und über das Internet downloadbaren Updates seines Produkts AVP Antivirus einen Schutz gegen diese neue Bedrohung implementiert". Auch andere Antivirensoftwarehersteller dürften in Kürze folgen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle

Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
Von James Dyke, Robert Watson und Wolfgang Knorr

Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
Artikel
  1. Google: Neues Pixel 6 kostet 650 Euro
    Google
    Neues Pixel 6 kostet 650 Euro

    Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

  2. Kalter Krieg 2.0?: Die Aufregung um Chinas angebliche Hyperschallwaffe
    Kalter Krieg 2.0?
    Die Aufregung um Chinas angebliche Hyperschallwaffe

    Die Volksrepublik China soll eine Hyperschallwaffe getestet haben. China dementiert die Vorwürfe aber und sagt, es wäre ein Raumschiff gewesen.
    Eine Analyse von Patrick Klapetz

  3. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /